LGPD em clínica pequena, na prática — sem contratar um DPO caro
Muita clínica pequena trata LGPD como problema de empresa grande. Dado de saúde é sensível por definição legal, independente do tamanho de quem trata — e o custo de se organizar é menor do que parece.
Conteúdo produzido com apoio de IA, revisado por André Holanda.
Existe uma ideia recorrente entre donos de clínica pequena e média de que a Lei Geral de Proteção de Dados (LGPD) é assunto de empresa grande — hospital, operadora de plano, rede com departamento jurídico próprio. É um raciocínio compreensível e completamente equivocado. A lei não faz distinção de porte quando o assunto é dado de saúde: pela Lei 13.709/2018, artigo 5º, inciso II, dado de saúde é classificado como dado pessoal sensível pelo simples fato de ser dado de saúde, independentemente de quem trata um paciente por dia ou mil. Uma clínica de dois consultórios lida com esse tipo de dado o tempo inteiro — prontuário, resultado de exame, histórico de medicação — e está tão sujeita à lei quanto qualquer hospital.
A boa notícia: nem tudo depende de consentimento assinado
Um mal-entendido comum é achar que toda coleta de dado de saúde precisa de um termo de consentimento assinado pelo paciente, complicando o fluxo de atendimento. Não é bem assim. A LGPD já prevê, no artigo 11, inciso II, uma base legal específica para tratamento de dado sensível de saúde quando feito por profissional de saúde ou por entidade sanitária, para tutela da saúde — ou seja, o ato assistencial em si (consulta, exame, prontuário) não depende de consentimento separado, porque a própria natureza do atendimento já é a base legal.
Onde o consentimento entra de verdade é em usos que vão além do atendimento direto: envio de comunicação de marketing, compartilhamento de dado com terceiro que não faz parte do cuidado (por exemplo, uma plataforma de pesquisa de satisfação), ou qualquer uso secundário do dado que o paciente não esperaria automaticamente ao marcar uma consulta. Separar esses dois blocos — ato assistencial (base legal própria) e uso secundário (precisa de consentimento específico) — já resolve boa parte da ansiedade que costuma paralisar clínica pequena diante do tema.
O ponto que mais pega: controle de acesso dentro da própria equipe
Quando se fala em proteção de dado, o primeiro instinto é pensar em ataque externo — hacker, vazamento, invasão de sistema. Mas o risco mais comum em clínica pequena é interno: quem, dentro da própria equipe, tem acesso a que tipo de dado. Recepção precisa ver nome, telefone e agenda do paciente — não precisa, e não deveria, ter acesso ao conteúdo clínico do prontuário. Faturamento precisa ver código de procedimento e dado de cobrança — não precisa ver a evolução médica completa. Esse tipo de segregação, batizada tecnicamente de controle de acesso por papel, é tão parte da conformidade com a LGPD quanto qualquer firewall, e é onde a maioria das clínicas pequenas nunca parou para pensar, porque parece um problema "de sistema", não "de lei".
No ClinicaOS, essa segregação existe estruturalmente: perfil de recepção não enxerga dado clínico, e o próprio log de auditoria interno já remove informação de identificação pessoal (nome completo, telefone, e-mail, data de nascimento) antes de registrar uma alteração, justamente para que rastreabilidade operacional não vire, ela mesma, um novo ponto de exposição de dado sensível.
Regime facilitado não é isenção
A Autoridade Nacional de Proteção de Dados (ANPD) reconhece que exigir de uma clínica pequena a mesma estrutura de compliance de uma grande operadora não é razoável, e criou um regime de tratamento diferenciado para agentes de pequeno porte — que pode dispensar, em certas condições, a formalização de um encarregado de dados (DPO) dedicado. Isso é frequentemente mal interpretado como "clínica pequena está isenta da LGPD", o que não é verdade. O regime facilitado simplifica como a clínica demonstra conformidade, não se ela precisa demonstrar. Mapear onde o dado do paciente circula, ter um responsável identificável (mesmo que não seja um DPO em tempo integral) e saber o que fazer diante de um incidente continuam sendo obrigações, só que com menos burocracia formal exigida no processo.
O que uma clínica pequena consegue fazer sem orçamento de empresa grande
Quatro ações concretas cabem no orçamento e no tempo de qualquer clínica, sem contratar consultoria cara:
- Mapear onde o dado do paciente realmente circula — prontuário eletrônico é só uma parte; muita clínica ainda troca resultado de exame por WhatsApp pessoal ou mantém planilha paralela de agenda com dado sensível, fora de qualquer controle.
- Revisar contrato com fornecedor de tecnologia — qualquer ferramenta que processe dado de paciente (sistema de prontuário, IA de transcrição, plataforma de agendamento) precisa ter, no contrato, cláusula de tratamento de dados compatível com a LGPD, deixando claro onde o dado é processado e por quanto tempo fica retido.
- Definir, por escrito, quem vê o quê — mesmo que informalmente hoje já funcione assim, documentar o controle de acesso por função facilita tanto a rotina quanto uma eventual fiscalização.
- Ter um plano simples de resposta a incidente — a lei não exige prazo fixo de horas para notificação (diferente do padrão europeu), mas exige comunicação "em prazo razoável" à ANPD e ao titular quando o incidente representar risco relevante; ter definido de antemão quem faz o quê nesse cenário evita improviso sob pressão.
O risco real não é a multa — é a confiança
A penalidade prevista na LGPD para infração pode chegar a 2% do faturamento, limitada a R$ 50 milhões por infração — número que assusta, mas que raramente é o que decide se uma clínica pequena deveria se preocupar. O risco mais imediato é reputacional: paciente que descobre que seu dado de saúde circulou sem controle claro dentro da própria clínica onde é atendido perde uma confiança que é difícil reconstruir, num negócio que depende inteiramente dela. Organizar o básico da LGPD não é, no fim, um exercício jurídico — é proteger o motivo pelo qual o paciente escolheu aquela clínica em primeiro lugar.